Microsoft Entra Connect 同步：防止意外删除

本主题介绍 Microsoft Entra Connect 中的防止意外删除（防止意外删除）功能。

安装 Microsoft Entra Connect 时，会默认启用“防止意外删除”功能，并配置为不允许导出超过 500 个删除项。 此功能旨在保护你免受意外配置更改和本地目录更改的影响，这些更改会影响许多用户和其他对象。

什么是防止意外删除？

涉及许多删除操作的常见方案包括：

• 在取消选择整个 OU 或域的情况下更改筛选设置。
• 删除 OU 中的所有对象。
• 已重命名某个 OU，因此其中的所有对象被视为超出同步范围。

可以使用 PowerShell 和 Enable-ADSyncExportDeletionThreshold更改 500 个对象的默认值，Enable-ADSyncExportDeletionThreshold是随 Microsoft Entra Connect 一起安装的 AD Sync 模块的一部分。 应将此值配置为适合组织的大小。 由于同步计划程序每 30 分钟运行一次，因此该值是 30 分钟内看到的删除次数。

如果暂存了太多要导出到 Microsoft Entra ID 的删除项目，就不会继续导出，并且会收到一封内容如下所示的电子邮件：

你好（技术联系人）。 在（时间）时，标识同步服务检测到删除次数超过了为（组织名称）配置的删除阈值。 在此次标识同步运行期间，总共已发送（数目）个对象进行删除。 这达到或超过了配置的删除阈值，即（数目）个对象。 在继续操作之前，我们需要你提供确认：应处理这些删除操作。 有关此电子邮件中列出的错误的详细信息，请参阅“防止意外删除”。

在 Synchronization Service Manager UI 中查看导出配置文件时，还可以看到状态 stopped-deletion-threshold-exceeded。

如果这是意外的，请调查并采取纠正措施。 若要查看要删除的对象，请执行以下操作：

1. 从“开始”菜单启动 同步服务。
2. 转到“连接器”。
3. 选择类型为“Microsoft Entra ID”的连接器。
4. 在右侧的“操作”下，选择“搜索连接器空间”。
5. 在“范围”下的弹出框中选择“连接断开起始时间”，并选择过去的一个时间。 选择“搜索”。 此页面提供即将删除的所有对象的视图。 通过选择每个项，可以获取有关该对象的其他信息。 您还可以选择 列设置，以便在网格中显示更多属性。

[!注意]如果不确定所有删除都是必需的，并且希望采用较安全的路由。 可以使用 PowerShell cmdlet：Enable-ADSyncExportDeletionThreshold 来设置新的阈值，而不是禁用可能允许意外删除的阈值。

如果需要所有删除项

如果想要查看所有删除项，请执行以下操作：

1. 若要检索当前删除阈值，请运行 PowerShell cmdlet Get-ADSyncExportDeletionThreshold。 默认值为 500。
2. 若要暂时禁用此保护并让删除操作完成，请运行 PowerShell cmdlet：Disable-ADSyncExportDeletionThreshold。
3. 如果 Microsoft Entra Connector 仍被选中，请选择“运行”操作，再选择“导出”。
4. 若要重新启用保护，请运行 PowerShell cmdlet：Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500。 检索当前的删除阈值时，请将 500 替换成看到的值。

后续步骤

概述主题

• Microsoft Entra Connect Sync：理解和自定义同步
• 将本地标识与 Microsoft Entra ID 集成